#ㄱ거래소가 해킹으로 막대한 규모의 암호화폐를 탈취당했다. 해커가 탈취한 암호화폐가 전 세계 거래소로 이동되며 자금 세탁이 이뤄졌다. 보안 업계는 정확한 거래소 지갑 정보만 있으면 탈취된 암호화폐를 더욱 빠르게 추적해 조치를 취하고 추가 피해를 막을 수 있다고 했다. 하지만 거래소 지갑 정보를 얻지 못하는 사이 대응은 지연됐고 탈취된 암호화폐 대부분이 자금세탁되면서 추적은 불가능해졌다.

#암호화폐 커뮤니티에서 ㄴ거래소에 상장된 A코인이 곧 폭등할 것이란 소문이 돌았다. ㄴ거래소 지갑에 고래가 A코인을 구입하기 위한 투자금을 넣었다는 이야기가 흘러나오면서부터다. A코인이 급등할 것으로 예상한 개미 투자자들이 매수에 나섰다. 하지만 A코인은 폭락했다. 고래의 매수설은 거짓이었다. 막대한 손실을 본 개미 투자자들은 소수의 인원만 거래소 지갑 정보를 알고 있으니 소문을 믿을 수밖에 없었다며 한탄했다.

암호화폐 거래소의 지갑 주소의 공개해야 하는가. 누군가는 온체인(On-Chain)에 기록되는 만큼 누구나 알 수 있도록 해야 한다고 한다. 반면, 거래소 측은 보안을 위해서 공개할 수 없다는 입장이다.

암호화폐 거래소 지갑은 크게 둘로 나뉜다. 온체인에 실시간으로 기록하는 핫월릿과 오프체인(Off-Chain)으로 관리하는 콜드월릿이다. 핫월릿은 고객이 거래소에 맡긴 암호화폐의 빠른 입출금을 위해 이용된다. 콜드월릿은 안전한 보관을 위해서 이용한다. 예컨대 고객이 ㄱ거래소에 100ETH(이더)를 전송하면, 일차적으로 거래소 핫월릿에 100ETH가 입금된다. 그 이후 거래소의 내부 정책에 따라 또다른 핫월릿이나 콜드월릿에 나눠 보관된다. 일반적으로는 핫월릿과 콜드월릿에 1:9의 비율로 보관된다.

해킹 사례로 돌아와보자. 탈취된 암호화폐가 특정 지갑으로 옮겨졌을 때, 각 거래소는 저마다 이 지갑이 자기네 지갑인지 여부를 확인한다. 만약 맞다면 지갑을 동결시킨다. 여러 거래소가 저마다 직접 확인해서 탈취된 암호화폐를 가려내야 하니, 전체로 보면 쉬운 작업이 아니다. 오랜 시간이 걸릴 수밖에 없다. 그 틈을 탄 해커들이 자금세탁을 해버릴 가능성도 있다. 지난해 11월 발생한 업비트 사고 때가 그랬다.

지난 14일 기준 전 세계 27개 거래소에 약 2만개에 달하는 이더리움이 이동 후 자금세탁이 이뤄진 정황이 확인됐다. 보안 업계에서는 사전에 주요 거래소 지갑 주소가 모두 공개돼있었다면, 자금세탁이 이뤄지는 것을 막을 수 있었을 것이라고 주장한다. 탈취한 암호화폐를 해커가 자금세탁이 가능한 특정 지갑으로 옮겼다 하더라도 그 지갑이 어느 거래소 지갑인지만 알았다면, 그 즉시 동결 등 조치가 가능했을 것이기 때문이다.

출처=게티이미지뱅크
출처=게티이미지뱅크

거래소 지갑을 공개하면 보안에 위협이 된다?

거래소들은 지갑 주소 공개를 꺼리면서 보안을 위한 어쩔 수 없다고 주장한다. 블록체인에 공개된 지갑 주소라고 해도, 거래소 지갑이 알려지면 곧장 사이버 공격의 타깃이 될 수 있다는 것이다.

업비트 관계자는 "거래소 지갑 공개가 고객 서비스 측면에서 도움이 된다면 공개를 할 수 있지만, 이보다는 공개로 인해 해킹 위험이 더 클 수 있기 때문에 공개할 이유가 없다"고 말했다. 빗썸 역시 "투자자 보호와 보안을 위해 거래소 지갑을 공개하지 않는다. 피치 못할 피해가 발생 시 조사 기관과 협조를 통해 정보를 공유할 계획"이라고 답했다.

그렇다면, 실제로 거래소 지갑 주소가 공개되면 해킹 위험이 더 커질까?

블록체인 기반 데이터 분석 업체 라이즈의 김종호 대표는 일부 동의한다. 김 대표는 "보안은 외부로 노출이 안 될 수록 낫다. 정보를 공개 안 하는 게 위험을 줄일 수 있는 방법의 하나"라고 설명했다. 그러나 그게 전부가 아니다. 김 대표는 거래소 지갑 정보, 특히 핫월릿 정보는 온체인 상에 기록될 수밖에 없는 만큼 영원히 숨길 수는 있는 것도 아니라고 덧붙였다.

온체인에 항상 공개되는 거래소 지갑 주소는 공개 여부를 떠나서 보안과 전혀 상관없다는 의견도 나온다. 예컨대 35만 이더(ETH)가 들어 있는 이더리움 창시자 비탈릭 부테린의 지갑(0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B)은 지난 2018년 스스로 공개했으며, 비트코인 창시자 사토시 나카모토가 처음 만든 비트코인 지갑 비트코인 제네시스(Genesis of Bitcoin)는 비트코인 탄생 때부터 공개돼있다. 하지만 이들 지갑에 해킹 문제가 발생한 적은 한 번도 없다. 지갑 공개와 해킹은 별개라는 관점에선, 보안을 이유로 거래소가 지갑 주소를 공개 못 한다는 주장은 설득력이 약할 수 있다.

"지갑 주소 공개로 인해 기술적으로 해킹의 위협이 된다면, 비탈릭이나 사토시의 지갑은 이미 수차례 탈취 사고가 발생했을 것이다. 하지만 그런 일은 발생하지 않았다. 지갑에 접근할 수 있는 개인키만 안전하다면, 지갑 주소 공개와 상관없이 해킹 위험은 없다. 지금껏 온체인 지갑 자체가 해킹된 사고는 없었다. 대부분의 거래소 해킹 사고는 개인키가 유출되는 내부 통제 시스템이 뚫린 탓이 크다." - 패트릭 김(김형우) 웁살라시큐리티 대표

거래소 지갑 공개가 오히려 암호화폐 투자자의 안전성에 도움이 된다는 의견도 나온다. 김종호 대표는 "거래소 지갑이 공개되면, 온체인에 기록되는 입출금 거래 정보를 확인할 수 있다. 암호화폐의 움직임에 따른 가격 변동과 그 전후 영향에 효과적으로 대응할 수 있게 된다"고 말했다. 그는 "입출금 거래 정보가 모두 기록된 거래소 지갑 정보는 블랙박스와 같아서, 특정 세력의 가격 펌핑이나 자전 행위 등을 확인할 수 있게 해준다"고 덧붙였다.

거래소 지갑 정보에는 거래소의 자산 정보가 들어있다

이처럼 지갑 주소 공개가 여러 이해 당사자들에게 유리할 수 있음에도 거래소들은 전혀 의지가 없다. 결국 진짜 이유는 다른 데 있는 것 아니냐는 분석이 설득력을 얻게 된다. 업계 관계자들이 조심스레 털어놓는 이야기들과도 일치한다.

암호화폐 정보 제공 업체 크립토퀀트의 장병국 최고전략책임자(CSO)는 "거래소의 정확한 지갑을 알 수 있으면, 그 지갑에 들어 있는 암호화폐를 확인할 수 있다. 또한 그 지갑의 입출금 정보를 분석하면 거래소가 보유한 전체 암호화폐 자산이 얼마나 되는지 예측이 가능해진다"고 말했다.

장 CSO는 고객 예치분의 암호화폐도 지급해줄 수 없을 정도로 '먹튀' 가능성이 높은 부실 거래소가 늘어나고 있다면서, 거래소들로서는 실제 보유 자산 공개와 다르지 않은 지갑 공개에 소극적일 수밖에 없다고 지적했다. 그는 "거래소 지갑 주소가 공개되면, 거래소의 암호화폐 자산 현황을 알 수 있는 만큼 고객 예치금과 거래소 보유 물량을 확인해 거래소의 자산 건전성을 판단할 수 있게 된다"고 덧붙였다.

블록체인 기반 보안 솔루션 개발 업체 웁살라시큐리티의 패트릭 김 대표도 거래소들의 지갑 비공개 방침이 보안 목적이라기보다는, 자산 규모와 비즈니스 전략을 노출할 가능성에 대한 우려 때문이라고 짚었다.

"이미 내부적으로 수집한 거래소 지갑의 자료를 보더라도, 온체인 상에 존재하는 암호화폐를 바탕으로 거래소의 대략적인 자산 규모를 알 수 있다. 이런 정보를 종합적으로 분석하면, 그 거래소의 향후 비즈니스 방향도 예측이 가능하다. 예컨대, 특정 암호화폐가 거래소 지갑에 모이는 정보를 바탕으로 스테이킹 사업을 준비하고 있다는 등의 예상을 할 수 있다." - 패트릭 김 웁살라시큐리티 대표

거래소가 공개 안 하는 거래소 지갑 찾는 방법은?

하지만 영원한 비밀은 없다. 거래소가 지갑 주소를 공개하지 않아도, 누구나 확인할 수 있는 온체인 상에 존재하는 만큼 방법이 없지 않다.

이더스캔의 라벨링 상황. 출처=이더스캔
이더스캔의 라벨링 상황. 출처=이더스캔

우선, 이더스캔이나 블록체인닷컴 등 퍼블릭 블록체인 블록 탐색기 서비스를 이용하는 방식이다. 이들 서비스는 주요 거래소의 특정 지갑에 라벨링을 하는 방식으로 거래소의 지갑에도 '이름표'가 달려있다. 물론 라벨링이 거래소의 자발적인 등록보다는 해킹 사건 발생 시 제한적으로 공개된 정보를 바탕으로 기록되는 만큼 확인된 것은 일부에 지나지 않는다.

보안 업체나 데이터 분석 업체는 해당 거래소에 직접 암호화폐를 전송해서 확인하는 '더스팅(dusting)' 방법을 주로 이용한다. 직접 거래소에 암호화폐를 전송해야 하는 만큼 비용과 수고가 필요하다.

"직접 거래소에 회원 가입 후 암호화폐를 구입해 거래소 지갑으로 수차례 이체하고, 온체인 상에서 암호화폐가 움직이는 경로를 분석하는 방식으로 거래소 지갑을 확인한다. 이런 방식을 더스팅이라고 부른다. 단순하지만, 가장 확실하다. 단점으로는 비용과 인력이 많이 필요하다. 또한 주요 거래소가 아닐 경우 확인을 못 하는 경우가 발생할 수 있다." - 장병국 크립토퀀트 최고전략책임자(CSO)

크립토퀀트는 이 외에도 주요 암호화폐의 모든 지갑의 입출금을 분석해 이 중 거래소에서 발생하는 특유의 패턴을 나타내는 지갑을 머신러닝과 그래프 분석 기술을 활용해 특정 거래소 지갑 여부를 확인하는 방법도 활용 중이다. 암호화폐 추적 솔루션 센티넬프로토콜을 개발한 웁살라시큐리티도 비슷한 방법을 이용 중이다.

"크립토퀀트와 마찬가지로 직접 거래소 지갑으로 암호화폐를 입금해서 지갑 주소를 찾는다. 또한 거래소의 핫월릿이 한두개에 그치는 게 아닌만큼, 우리는 한발 더 나아가 하나의 거래소 지갑을 확인하면 그 지갑을 중심으로 근접한 모든 핫월릿을 분석해 연관된 지갑을 모두 추적하면서 거래소 지갑인지를 검증하고 있다." - 패트릭 김 웁살라시큐리티 대표

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지